第5回:情報セキュリティ対策は企業の社会的責任だ - (page 2)

損保ジャパン・リスクマネジメント ISOマネジメント事業部課長 山本匡氏2004年09月13日 14時00分

--セキュリティ対策とかコンプライアンスというと、「できて当然」「満点レベルを維持・確保する」という見方になりがちですからね。会社としてもギリギリのコストで対応したいと考えるでしょうし、担当者のモチベーションも上がりにくい。しかし「これまで振り向いてくれなかったマーケット層へ対するアプローチは企業の社会的責任をまっとうすることなのだ」と考えると、これは経営戦略のひとつと捉えられますね。

山本氏: そうですね。私が扱った案件で非常に興味深かったのは、コンプライアンス活動のきっかけとして個人情報保護を捉えている企業の例です。そのお客さまは、経営企画的な課題としてコンプライアンスの推進を掲げており、そのブレイクスルーとなる視点を探していたのです。コンプライアンスといっても、法律全般が守備範囲になりますから、何からどのように着手すればいいのかわからない。そこで出てきたのが個人情報保護です。個人情報は企業のどの部門にも存在し、その保護を全社横断的に取り組めば、コンプライアンス推進の1つのモデルが構築できるという考え方ですね。私がお会いしたのは、まさにそのコンプライアンスを推進するご担当者だったのですが、その考え方は目からうろこでした。コンプライアンスの題目としての個人情報保護と言えばどの部門の方でも理解してくれますから。

--お話を伺うと、コンプライアンスやCSRの観点でもってすでに情報セキュリティ対策に積極的に取り組んでいる企業と、足踏みしている企業との温度差が開いてくるように感じるのですが。

山本氏: メディアが率先して盛り上げていますからね。「あおり過ぎではないか」という意見も出ますが、私は逆に「いま盛り上がらないでどうするか」という思いもあります。ただ、「大山鳴動鼠一匹」のように、盛り上がるだけ盛り上がって、急速に冷めてしまう危険性もはらんでいますね。

われわれは安心で安全な生活を営む権利があり、そこに対して企業がやるべきことの1つに情報セキュリティがある、という認識は継続的に持っておく必要があります。


情報セキュリティが財務に与える影響は

--先ほど、コンプライアンスやCSRを経営戦略の一環として考えるというお話がありましたが、視点を変えて情報セキュリティが財務に与える影響についても考える必要があると思います。しかし第1回でお話されたように、リスクの大きさやコストの見積もりが難しいという背景から、なかなか社会的なコンセンサスが取れていないように感じられます。この点についてはいかがですか。

山本氏: 例えば当社では、災害がもたらす企業への財務影響を考えて「企業リスク財務影響分析プログラム」を提案しています。そもそも火災保険はモノが対象ですが、欧米ではビジネスインタラプション(事業中断)、つまりビジネス上得るべきだった利益に対する保険が普及しています。企業の利害関係者が得るべき利益が失われた、これを大きく捉えれば「株主などに対する社会的責任を果たすための保険」であると見ることもできます。よく考えてみると、モノは減価償却して減っていくものですが、利益は場合によっては増えていきますよね。つまり、リスクは“モノが壊れる”という物理的な影響だけでなく、会社の操業上の損失も踏まえなければならないのです。

 情報システムのボトルネック部分の検証ももちろん重要なのですが、事業活動上、実際にどのような影響を与えるのか検討することも必要です。そこで前述のようなプログラムを提供し、リスク分析のお手伝いをさせていただいているわけです。経営判断の材料として「数値に置き換えないと、なかなか理解されない」というリスクを金額で示し、これらの数値を使って、会社として財務への影響を見定める姿勢は必要だと思います。

--そうした被害に対して、「保険という手段でどこまでを保障してくれるのか」という疑問が出てくると思います。損保ジャパン・リスクマネジメントはどのようにお考えですか。

山本氏: 当社は、リスクコンサルティング会社であり、保険販売は直接行っていませんが、正直な話、各保険会社の状況を見ていると恐る恐る足を踏み出している段階にあると思います。というのは、何か情報セキュリティ事故が発生したとき、その原因や原因者でさえ明言できる企業はまだ多くないからです。事故の原因者を特定できる手段が確立されてくれば、発生メカニズムや発生確率の把握、企業対策レベルの向上によって、保険のパターンや価格もさまざまなものが生まれてくるでしょう。しかし現状では、情報セキュリティ対策のレベルのあり方やリスクの大きさ、被害シナリオ、被害額、社会や実ビジネスに与える影響など、深く考える必要がある議題が山積みになっています。まずはこうした事柄について、各保険会社は、企業の情報セキュリティ推進のお手伝いをしているフェーズだと思います。
(第6回へ続く)

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]